WordPress 6.2.1 vừa ra mắt để vá lỗ hổng bảo mật, update ngay!

WordPress 6.2.1 đã được phát hành sáng hôm nay. Nếu bạn đã bật chế độ WordPress Update tự động thì không cần làm gì cả, nếu chưa thì cần đăng nhập để update ngay.

Đây là bản phát hành nâng cao hiệu năng và và bảo mật thường thấy (Maintenance & Security Release).

Đặc biệt trên WordPress 6.2.1 có các bản sửa lỗi quan trọng cho 5 lỗ hổng bảo mật do nhà phát triển Jb Audras (Jean-Baptiste Audras), đối tác phát triển của WordPress Core phát hiện ra, cụ thể:

1. Block themes parsing shortcodes in user generated data: chặn phân tích shortcode trong dữ liệu tạo ra bởi người dùng.
2. A CSRF issue updating attachment thumbnails: lỗ hổng liên quan đến hình thức tấn công CSRF khi cập nhật ảnh thumbnail cho files.
3. A flaw allowing XSS via open embed auto discovery: lỗ hổng loại XSS liên quan đến tính năng embed trên WordPress Core.
4. Bypassing of KSES sanitization in block attributes for low privileged users: lỗ hổng bỏ qua việc chuẩn hóa/ xác thực dữ liệu KSES đối với người dùng cấp thấp.
5. A path traversal issue via translation files: sự cố liên quan đến đường dẫn các file dịch cho tính năng đa ngôn ngữ.

Hiện các lỗ hổng này đã được công khai, người dùng nên cập nhật ngay lập tức vì tin tặc chắc chắn sẽ lợi dụng các lỗ hổng này để tấn công tự động trên diện rộng gây thiệt hại lớn.

WordPress 6.2.1 cũng bao gồm 20 bản sửa lỗi cho WordPress Core và 10 bản sửa lỗi cho Gutenberg Block Editor, toàn bộ các cập nhật bạn có thể xem chi tiết tại đây.

WordPress đa là mã nguồn số 1 thế giới, chiếm 43% tổng số websites toàn cầu nên luôn là đối tượng của giới hacker, vì vậy, việc cập nhật mã nguồn (WordPress Core), Themes và Plugins là bắt buộc nếu bạn muốn tránh các cuộc tấn công tự động nhắm vào các lỗ hổng bảo mật đã được công khai.

Và, hãy dùng plugin bảo mật uy tín iThemes Security, hoặc WordFence để cấu hình các tính năng chặn bot, phát hiện tấn công, theo dõi hành động xấu trên WordPress để chặn đứng hầu hết các cuộc tấn công phổ biến:

iThemes Security – Plugin bảo mật số 1 cho WordPress

Đừng quên theo dõi các tin tức cập nhật về Bảo mật Website & Bảo mật WordPress nói riêng trên WPVUI nhé:

Danh sách cập nhật Bảo mật WordPress mới nhất

Nếu bạn chưa bật cập nhật tự động cho WordPress, thì nhớ login vào Dashboard, vào mục Updates và cập nhật ngay mã nguồn lên phiên bản WordPress 6.2.1 để tránh bị tấn công vào 5 lỗ hổng đã nói ở trên.

Tham khảo:

WordPress 6.2 “Dolphy” có gì mới?

Chúc thành công!